Afpersing en ransomware zijn winstgevende, goedkope bedrijven die gerichte organisaties gemakkelijk kunnen verlammen. Wat begon als eenvoudige ransomware voor één pc, is uitgegroeid tot een breed scala aan afpersingsschema's die mogelijk worden gemaakt door menselijke intelligentie en die de netwerken van alle soorten organisaties over de hele wereld infecteren. Dit is met name zorgwekkend wanneer de inbreuk had kunnen worden voorkomen door effectief beheer van online-identiteiten.
Organisaties hoeven doorgaans niet afhankelijk te zijn van hun interne technische vaardigheden en ervaring. Identiteitsbeheer in cloud computing is essentieel voor cloudbeveiliging. Verkeerd geconfigureerde cloudidentiteiten kunnen een hele applicatie platleggen of leiden tot een groot beveiligingsrisico. Organisaties kunnen samenwerken met derde partijen om voor hun cloudidentiteitsbeheer te zorgen via een gespecialiseerde Cloud Identity-platform.
Wat is ransomware?
Ransomware is schadelijke software die voorkomt dat een gebruiker of organisatie toegang krijgt tot bestanden op hun computer. Kwaadwillenden versleutelen deze bestanden en eisen een fors losgeld voor de decoderingssleutel bedrijven in een positie waarin het betalen van het losgeld de eenvoudigste en goedkoopste methode is om weer toegang te krijgen tot: hun gegevens. Sommige varianten van ransomware hebben extra mogelijkheden geïntroduceerd, zoals gegevensdiefstal, om slachtoffers van ransomware te verleiden het losgeld te betalen.
Het moet duidelijk zijn dat dit soort aanvallen niet alleen een organisatie kan verlammen door de toegang tot systeemkritieke gegevens te verwijderen, maar ook de reputatie van een organisatie ernstig kan aantasten. Dit soort aanvallen leiden er doorgaans toe dat grote hoeveelheden gevoelige informatie in het publieke domein worden gedumpt of worden verkocht aan de hoogste bieder. Deze informatie kan persoonlijke informatie zijn, zoals niet-gehashte gebruikersaccounts of erger nog, gevoelige financiële informatie die bedrijfsstrategieën of niet-aangegeven winsten blootlegt. Doorgaans heeft de fall-out na een dergelijke inbreuk een grotere impact dan de inbreuk zelf. De organisatie openstellen voor mogelijke niet-naleving en eventuele rechtszaken.
Lees ook: Wat is computerbeveiliging | Veelvoorkomende bedreigingen voor computerbeveiliging
Ransomware as a Service (RaaS)
De Conti-ransomware aanvankelijk opgedoken in juli 2020, met behulp van een bedrijfsmodel met dubbele afpersing. Een slachtoffer wordt eerst afgeperst voor losgeld en de mogelijke publicatie van hun gestolen gegevens in deze dubbele afpersingsaanpak. Conti is ook ransomware as a service (RaaS), een op abonnementen gebaseerde service die servicepartners onmiddellijk toegang geeft tot tools en builds voor het bouwen van ransomware. Partners van de dienst komen overeen om losgeld te verdelen tussen de ransomware-ontwikkelaar en de kwaadwillende actor die de aanval heeft uitgevoerd. Dat maakt het een lucratieve industrie voor hackers.
Conti verkrijgt doorgaans toegang tot het netwerk van een slachtoffer via andere bedreigingen, zoals: Trickbot, IcedID of Zloader. Conti beschikt over een configureerbare verkenningsmodule die interne netwerken kan scannen op netwerkshares en andere hoogwaardige doelen zodra ze zich binnen het slachtoffernetwerk bevinden.
Conti begint met het coderen van door de gebruiker aanpasbare gegevens en databases, afhankelijk van de gespecificeerde bestandsextensielijsten zodra het in de omgeving van het slachtoffer is geïnstalleerd. Nadat de codering is voltooid, wordt er een losgeldbrief in elke bestandsmap geplaatst, waarin de gebruiker wordt geïnstrueerd hoe hij contact moet opnemen met de kwaadwillende actoren.
Het ransomware-bedrijfsmodel is in feite veranderd in een inlichtingenoperatie, waarbij criminele actoren hun doelwitslachtoffers onderzoeken om het beste losgeld te bepalen. Na het infiltreren in een netwerk kan een criminele actor exfiltreren en financiële documenten en verzekeringsplannen bestuderen. Ze zijn zich mogelijk ook bewust van de gevolgen van het overtreden van lokale wetten. De acteurs zullen dan geld van hun slachtoffers eisen om hun systemen te ontgrendelen en openbaarmaking van de geëxfiltreerde gegevens van het slachtoffer te voorkomen.
Lees ook: Beste gratis hulpprogramma's voor het verwijderen van spyware voor Windows-pc
Hoe kan dit worden vermeden?
Een belangrijke maatstaf als het gaat om ransomware-inbreuken, is het beheer van identiteiten en effectieve scheiding van taken. Cloud identity governance speelt een grote rol bij de bescherming van organisaties tegen datalekken met ransomware.
Kwaadwillenden kunnen toegang krijgen tot gesloten omgevingen door schadelijke software te installeren om online identiteiten en authenticatiegegevens te verzamelen. Deze software kan ontstaan door zorgvuldig geplande social engineering of andere subtiele mechanismen, afhankelijk van de menselijke natuur.
Organisaties moeten een actieve rol spelen in het beheer van hun online identiteiten. Door samen te werken met een branchespecialist hebben organisaties de mogelijkheid om solide beveiligingsprotocollen en -praktijken in hun cloudomgevingen te introduceren. Er is een duidelijke correlatie tussen het ontbreken van online identiteitsbeheer en het verhoogde risico op ransomware-aanvallen. Door effectieve cyberhygiëne toe te passen hebben kwaadwillende actoren minder aanvalsoppervlak en kunnen organisaties gerust zijn.